Onderhoud en Beheer Informatiesystemen. 70_642 opdracht Windows Firewall.

Onderhoud en Beheer Informatiesystemen. 70_642 opdracht Windows Firewall. Deze opdracht maakt gebruik van de VAPP JvN_OBI_Algemeen. Opdracht werkend getest in VNIA. Deze opdracht bouwen we in de cloud. Haal daarvoor de VApp JVN_OBI_Algemeen op. Rename deze Vapp meteen naar jouw voor-en achternaam. (VoornaamAchternaam_Firewall). De opdracht gaat over de werking van de firewall zoals deze wordt meegeleverd in Windows server2008 en Windows7. Ten opzichte van Windows XP en server2003 is een aanzienlijke uitbreiding ingebouwd. Een belangrijke verandering is dat de firewall nu bidirectioneel is, dat wil zeggen dat zowel inkomend als uitgaand verkeer aan de firewall rules wordt onderworpen. In de vorige versie werd alleen ingaand verkeer ( inbound) gecontroleerd. Uitgaand verkeer ( outbound) was niet aan controle onderhevig. Hiermee is een eind gekomen aan de mogelijkheid dat interne spyware via outbound verkeer belangrijke informatie naar buiten brengt. In deze opdracht gaan we eerst kijken naar de relatie tussen het type netwerk ( public,private of domain) en het gedrag dat de firewall daarbij default vertoont. Daarna gaan we de inbound rules bekijken en configureren. Inhoudsopgave: Private of Public?... 2 Network Discovery.... 5 Domain authentication.... 8 Configuratie van de Firewall.... 9 Windows Advanced Firewall via het startmenu... 9 Echo requests ( ICMP protocol, oftewel Pingen)... 9 Pagina 1 van 19

Remote desktop.... 10 Exceptions... 11 Windows Advanced Firewall via een MMC.... 12 Winrm... 12 Netsh... 15 Windows advanced firewall via een Group Policy.... 16 Start nu eerst de twee Windows server2008 machines op. Noem een van beide machines DC_FW en de andere noem je Member_FW. Let op: In deze machines zijn de firewalls door de docent uitgezet om de werking bij andere opdrachten zo soepel mogelijk te laten verlopen. Zet nu eerst op beide machines terug naar de default situatie: zet ze dus aan. Private of Public? Direct na installatie van een schone Win2008machine zie je in het network sharing center dat zo n machine zich bevindt in een Public Network. Ga na dat beide machines dit melden. Pagina 2 van 19

Zowel Windows server 2008 als Windows 7 ( en Vista ) kennen als het gaat om de zogenaamde Network Location Awareness twee types netwerken; 1. De private netwerken Hieronder vallen de thuissituatie en de werksituatie, waarbij geen sprake is van een domein. Het gaat er hierbij om dat het netwerk kan worden beschouwd als een Trusted Network. 2. De Public netwerken. Hieronder vallen netwerken zoals op het station, in de kiosk. Netwerken die niet als Trusted kunnen worden aangemerkt. Direct bij het verkrijgen van het netwerkadres vindt een stukje communicatie plaats tussen de host en het netwerk. Als een host bij het eerste contact op geen enkele wijze zich dient te authenticaten, registeert de host dat hij zich bevindt in een Public ( dus Untrusted Netwerk. Als de host merkt dat hij zich wel moet authenticaten ( zoals later in onze opdracht bij een Domain Controller) registreert het systeem een Trusted netwerk, straks in ons geval een Domain network. Eigenlijk is het verschil tussen deze types netwerken niets anders dan dat Windows per type netwerk een aparte set voorgedefinieerde Firewall settings gebruikt. Met andere woorden; eigenlijk zijn we niets anders aan het doen dan de Firewall instellingen aanpassen. Eerst doen we dat door de default settings te gebruiken die windows hanteert, afhankelijk van het type netwerk dat wordt gedetecteerd. Later gaan we onze firewall instellingen handmatig aanpassen. Voorzie beide machines nu eerst van een ip adres; DC_FW krijgt 192.168.2.10 /24, Member_FW krijgt 192.168.2.20 /24. Beide machines hebben geen gateway. Pagina 3 van 19

Ping nu direct vanaf DC_FW naar Member_FW en andersom. Constateer dat er geen reply komt. Hebben de machines geen fysiek contact? Of wordt de ping geblokkeerd door de firewall? Een simpele test; Schakel nu via het Network and sharing center op beide machines de Firewall weer uit. Constateer overigens eerst dat het systeem meldt dat er alleen een Unidentified Public network is. Pagina 4 van 19

Ping opnieuw vanaf DC_FW naar Member_FW. Constateer dat er nu wel een reply komt. Kortom, zoals verwacht, de firewall blokkeerde de ping. Dit is een ingebouwd security item; standaard wordt vreemd verkeer geblokkeerd. Activeer de firewall op beide machines weer. Als een machine meerdere netwerkverbindingen heeft, kan het zo zijn dat de ene verbinding wordt gezien als een Public netwerk, terwijl de andere wordt gezien als een Private Network. Let erop dat je dan niet klakkeloos de firewall settings op alle networklocations inschakelt of uitschakelt. Indien een systeem, zoals bijv een laptop, regelmatig elders wordt gebruikt om via een netwerk of internet verbinding te zoeken, dan zal de ene keer een Private ( home or work) netwerk worden gedetecteerd en de andere keer misschien wel een Public netwerk. Het is zeer aannemelijk dat je wilt dat de laptop in de trein een strengere firewall hanteert dan thuis of op het werk Dus wellicht de firewall inschakelen voor de Public locations en uitschakelen voor de Private locations of voor de verschillende locations beide firewalls laten draaien, maar met andere instellingen Network Discovery. Constateer in het network sharing center van beide machines dat de optie Network discovery disabled (off) is. Met deze optie kan Windows detecteren welke hosts er in het netwerk aanwezig zijn en zo een beeld vormen van het totale netwerk. Ideaal voor het overzicht, zeker voor hackers die het netwerk willen verkennen. Dat betekent dat deze optie in een Public Network dus nooit beschikbaar zal zijn. Weer een ingebouwd security item.. Test dit als volgt uit; Op beide machines klik op de optie View Full Map. Pagina 5 van 19

Constateer dat er een melding komt dat Windows geen netwerk kan tekenen omdat er sprake is van een Public Network. Verander nu op beide machines het type netwerk in een Private Network. Gebruik hiervoor de optie Customize. Constateer dat er nu wel een netwerk tekening gemaakt kan worden. De Firewall laat nu alle networkdiscovery verkeer door, wat eerst niet het geval was.. Pagina 6 van 19

Wat echter indien een systeem opnieuw wordt opgestart? Probeer dit uit; start beide machines eens opnieuw op. Constateer dat het type netwerk weer is teruggezet naar een Public Network. Waarom? Omdat er geen centrale authentication op het netwerk is.. En dus is nu de optie View Full Map dus weer niet beschikbaar Schakel nu eens op beide machines de optie Networkdiscovery in; stel in dat het netwerk als een Private Network beschouwd moet worden. Wat doet het systeem nu? Constateer dat na de herstart het Public Network weer is ingesteld. Vul nu op Member_FW de gateway 192.168.2.10 in. Stel vast dat Member_FW meteen zijn Public Network verandert in Private. Het invullen van een gateway heeft tot gevolg dat de host direct gaat testen of hij die gateway kan bereiken. Als dat lukt wordt het type netwerk dus gewijzigd naar een Private network. Lukt het niet dan blijft het een Public Network. Vul bij DC_FW als gateway de niet aanwezig 192.168.2.100 in. Stel vast dat het type netwerk niet wordt gewijzigd. Verwijder nu bij beide machines de gateway. Pagina 7 van 19

Domain authentication. Maak DC_FW nu tot Domain Controller van het domein Firewall.com. Maak Member_FW ook meteen lid van het domein. Constateer dat na deze acties zowel DC_FW als Member_FW het type netwerk identificeren als een Domain Network. ( eventueel moet je DC_FW een tweede keer opstarten nadat Member_FW is herstart) Waarom nu een domain network? Zodra AD geïnstalleerd is identificeren domain members zich tegenover elkaar door middel van het Kerberos protocol. Deze authenticatie nu zorgt ervoor dat het type netwerk wordt herkend als een Domain Network. Kan Member_FW nu met de optie View Full Map een tekening maken van het netwerk? Constateer dat dit nog steeds geblokkeerd is en geblokkeerd blijft, ook als je de optie Networkdiscovery inschakelt. Op Domain netwerken is networkmapping namelijk default geblokkeerd; een ingebouwd stukje security. Pagina 8 van 19

Configuratie van de Firewall. Als we nu toch networkdiscovery ( en andere toepassingen) door de firewall willen laten, zullen we die firewall moeten configureren. In Server2008 kan dat langs verschillende configuratie ingangen ; 1. Via het control panel.( hiermee kun je alleen de lokale firewall settings van de betreffende machine instellen. Deze configuratie ingang zullen wij niet bespreken, omdat de mogelijkheden van deze ingang veel uitgebreider aan de orde komen bij de andere configuratie ingangen. ) 2. Via het startmenu/ adm. Tools/ windows adv firewall.( hiermee kun je alleen de lokale firewall settings van de betreffende machine instellen) 3. Via een mmc snap in, met de optie Windows Firewall with advanced security (Hiermee kun je ook de firewall settings van een remote machine instellen.) 4. Met het commando Netsh ( voornamelijk nodig bij lokaal werken op Server Core machines) 5. Met behulp van Group policies. Windows Advanced Firewall via het startmenu Echo requests ( ICMP protocol, oftewel Pingen) Een van de meest elementaire checks bij netwerkproblemen is de Ping. Om security redenen kan men ervoor kiezen om de ping naar een machine te blokkeren. In Server 2008 tref je dit ( o.a )aan in de advanced firewall settings, bereikbaar via het startmenu. Test nu eerst even uit of pingen op (Ip adres) van DC_FW naar Member_FW mogelijk is en andersom. Constateer dat Member_FW niet bereikbaar is, DC_FW wel. Maak pingen over en weer nu mogelijk door( in de advanced firewall van Member_FW bij de optie File and Printer sharing ( IPV4) de inboundrule m.b.t. echo requests te enabelen en in te stellen op Allow. Pagina 9 van 19

Ga na dat Member_FW nu wel gepingd kan worden. Pingen (on)mogelijk maken via Startmenu/ adm tools/ windows adv firewall. Kies File and printerscharing Remote desktop. Ook remote desktop is afhankelijk van de firewallsettings. Default wordt het RDP protocol niet doorgelaten door de firewall. Met het inschakelen van Remote desktop wordt echter de firewall ook hiervoor geconfigureerd. Test dit als volgt uit: Op Member_FW, kies in de advanced firewall de optie Remote Desktop (TCP) Uiteraard kiezen we nu de Domaininstelling. Ga na dat deze rule default disabled is. Laat dit even zo staan. Maak nu op Member_FW, via de properties van de machine, remote desktop mogelijk. Refresh nu het scherm van de Firewall. Pagina 10 van 19

Let op; er zijn nu ineens twee rules, namelijk Remote desktop in een Domain Network, en Remote desktop in een Public Network. De rule voor het Domain network is nu Enabled. Maak nu een remote desktopverbinding vanuit DC_FW naar Member_FW. Constateer dat dit nu werkt. Sluit de verbinding daarna af door uit te loggen. Exceptions Een andere optie die we vanuit de firewall hebben is om te reguleren wie en welke computer eventueel door de firewall geblokkeerd moet worden of er juist door mag. Daarvoor moeten we kijken naar de exceptions van de firewall. Exceptions zijn verbindingen die wel door een ingestelde firewall blokkade heen mogen. Om dit goed te kunnen testen moeten we nu een andere machine aan het domein toevoegen. Hiervoor maken we gebruik van de Windows7 machine. Voorzien de windows7 client van het static IP adres 192.168.2.70 Neem de machine op in het domein onder de naam Win7. Ga na dat het type netwerk door Win7 na de herstart meteen wordt herkend als een Domain network. Controleer nu eerst dat de domain administrator ook vanuit Win7 een Remote desktopverbinding kan opzetten met Member_FW. Sluit de verbinding zodra je hebt vastgesteld dat het werkt. Nu gaan we op Member_FW de firewall zo instellen dat Remote Desktop niet door de firewall heen mag. Echter indien een verzoek komt vanuit de range van 192.168.2.70 tot 192.168.2.80 ( waarin onze Win7 zich bevindt.), dan dient de verbinding wel te worden toegestaan. Als het goed is kunnen we nu dus vanuit Win7 wel, maar vanuit DC_FW geen RD verbinding maken met Member_FW. Op Member_FW; Disabel de inbound rule die Remote desktop allowed. Controleer eerst even dat zowel vanuit DC_FW als Win7 nu geen remote Pagina 11 van 19

desktopverbinding met Member_FW meer kan worden opgezet. Stel nu in de properties van de rule, tabblad Scope, in dat RD toegang mag worden verleend als het IP adres van de Mstsc client zich bevindt tussen 192.168.2.70 en 192.168.2.80 Enabel de rule nu. Probeer nu als domain administrator zowel vanuit Win7 als vanuit DC_FW een RD verbinding met Member_FW op te zetten. Constateer dat toegang alleen wordt verleend aan Win7. Test; geef Win7 nu eens een ander vast ipadres, buiten de scope. Kun je dan nog steeds een RD verbinding opzetten? Als het goed is natuurlijk niet meer.. Zet het IP adres van Win7 weer terug zodat RD toegang vanuit Win7 weer mogelijk is. (Test het even uit, voordat je verdergaat.) Windows Advanced Firewall via een MMC. Erg handig is de optie om op afstand de firewall settings van een remote machine te kunnen beheren. Dat kan o.a. met een MMC, waarin de Windows Firewall met Advanced Security is toegevoegd. We gaan straks vanuit Win7 remote de firewall settings van Member_FW bekijken. Winrm Daartoe moet wel op Win7 remote management worden doorgelaten door de firewall. Daarvoor maken we dan straks gebruik van het commando Winrm qc. Pagina 12 van 19

Maak nu op Win7 een MMC aan. Member_FW toe. Voeg daarin twee maal de Windows Firewall toe; de eerste keer voor de lokale computer, de tweede keer kies je voor another computer. Voeg dan Constateer dat remote management van de firewall op Member_FW niet wordt toegestaan. Dit komt omdat de remote management services door de firewall van Win7 wordt geblokkeerd. Pagina 13 van 19

Configureer nu de firewall van Win7 om remote management verkeer toe te staan. Gebruik het commanod Winrm qc. Accepteer beide wijzigingen. Op servers draait de Windows remote management service standaard, echter er moet nog wel een zogenaamde listener worden aangemaakt. Deze listener gaat na of er verzoeken om managementhandelingen binnenkomen via het netwerk. Ook dit gaat met het commando Winrm qc, nu echter op Member. Doe dat nu ook. Gebruik het commando Winrm quickconfig. De Windows Remote Management service. Constateer dat op Member_FW slechts één vraag wordt gesteld, namelijk of er een listener moet worden aangemaakt.. Dit werkt echter niet altijd. In dat geval kunnen we op Member_FW eventueel nog gebruikmaken van Netsh. Pagina 14 van 19

Netsh Dit is commandline tool waarmee we o.a. de firewallsettings kunnen beheren via de commandprompt. Bij Server Core installaties is dit de enige wijze om de firewallsettings in te regelen, echter het komt nu ook mooi van pas.. Gebruik Netsh advfirewall om remote management mogelijk te maken. Gebruik de elevated cmd. Type via een elevated cmd op Member_FW in; Netsh advfirewall set allprofiles settings remotemanagement enable. Daarna kun je wel via Win7 remote de firewall van Member_FW bewerken. Disable nu met Netsh remote managemnt op Member_FW. Constateer dat remote management van Member_FW inderdaad weer wordt geblokkeerd. Waar Netsh ook handig voor is, is om een overzicht op te vragen van alle firewall rules met daarbij de vermelding of de rule enabled is en voor welk type Netwerk ( Domain, Public of Private). Dit kunnen we doen met het commando; Netsh advfirewall firewall show rule name=all Met de toevoeging >Driveletter\Filenaam, wordt deze info weggeschreven naar een bestand. Pagina 15 van 19

Met de toevoeging >C:\Netshexport is het bestand Netshexport aangemaakt. Hierin vinden we o.a. onze instellingen van de rule die Remote Desktop regelt voor de IP range 192.168.2.70 tot 192.168.2.80 Ook hier geldt weer dat dit vooral handig is op een Server Core; op een gewone machine kunnen we dit immers ook uitlezen in de console van de Advanced firewall zelf. Windows advanced firewall via een Group Policy. Uiteraard is het niet de bedoeling dat firewall settings lokaal op elke individuele machine moeten worden ingesteld. Daarvoor kunnen we beter gebruikmaken van grouppolicies. Om dit te kunnen uittesten moeten we wel wat voorbereidend werk doen; Maak in ADUC een nieuwe OU, TestOU aan; verplaats zowel Member_FW als Win7 naar de nieuwe OU. Pagina 16 van 19

We gaan nu voor de ou TestOU instellen dat de computers in deze OU niet via Remote Desktop benaderd mogen worden. Maak nu met Grouppolicy management een nieuwe policy, Remote Desktop, aan. Ga naar de setting van de Windows Advanced Firewall. Computerconfiguration/policies/ windows settings/ security settings/ Windows firewall with advanced security) Klik op Inbound rules; Maak een nieuwe rule aan. Kies voor Port. Kies voor de optie TCP. Vul het poortnummer in. RDP gebruikt poort 3389. Kies Block Apply de rule op alle netwerktypen Rulename; Remote Desktop Link deze policy aan de ou TestOU. filter op Domain computers. Denk aan; 1. Gpupdate 2. Computerpolicies worden pas doorgevoerd bij de eerstvolgende herstart. Pagina 17 van 19

Constateer dat na de herstart van Member_FW en Win7 remote desktopverkeer wordt geblokkeerd. Via de MMC op Win7 kunnen we nagaan dat deze blokkade inderdaad voortkomt uit de uitvoering van de GPO. Aparte rul staat bovenin het scherm. Pas nu op DC_FW de policy Remote Desktop aan; allow de RDP verbinding. (GPupdate/ reboot!) Ga na dat nu zowel de Windows7 client als DC_FW een RDP verbinding kunnen opzetten met Member_FW. Op deze wijze kan de domain administrator centraal de firewall instellingen van alle machines in het gehele domein beheren. Meer informatie over de Pagina 18 van 19

wijze waarop GPO s gebruikt worden vind je in de opdracht GPO s van de cursus 70-640 uit leerjaar 2. Hiermee zijn we aan het eind gekomen van de opdracht over de Windows Firewall. Sluit de machines af. Pagina 19 van 19